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Kontrolle mutmaßlicher Verstöße gegen das Fernmeldegeheimnis bei der 
Deutschen Telekom AG 


Vorbemerkung der Fragesteller 

Die in den Medien berichteten mutmaßlichen Verletzungen des Femmeldege- 
heirrmisses sowie weiterer Rechtsgüter durch die Deutsche Telekom AG 
(nachfolgend: DTAG) geben Anlass, nach Durchführung und Wirksamkeit 
vorsorglicher Kontrolle gegen derlei durch die zuständigen Stellen zu fragen. 

Erläuternd zu nachstehenden Fragekomplexen F bis VI. wird vorbemerkt: 

Zu I. Prüfungen der Bundesnetzagentur bei der DTAG: 

Betreiber von Einrichtungen der Telekommunikation (nachfolgend: TK) wie 
die DTAG sind verpflichtet, „angemessene technische Vorkehrungen oder 
sonstige Maßnahmen zum Schutze 1. des Femmeldegeheimnisses und perso- 
nenbezogener Daten und 2. der Telekommunikations- und Datenverarbei- 
tungssysteme gegen unerlaubte Zugriffe zu treffen“ (§ 109 Abs. 1 des Tele- 
kommunikationsgesetzes - TKG) sowie „ein Sicherheitskonzept zu erstellen 
und dieses der Bundesnetzagentur“ unverzüglich nach Aufnahme der Tele- 
kommunikationsdienste“ vorzulegen. Die Bundesnetzagentur hat das Konzept 
zu prüfen und karm Mängelbeseitigung verlangen. (§ 109 Abs. 3 TKG). 

Zu II. Verarbeitung von Verbindungs- und Standortdaten auch für DTAG- 
Zwecke nur begrenzt zulässig: 

Daten über Telefonverbindungen und Standorte dürfen nur für begrenzte 
Zwecke und für angeordnete Überwachungen erhoben, verwendet und über- 
mittelt werden (§ 88 Abs. 3 TKG, §§ 96 bis 100 TKG). 

Zu III. Datenschutzpfhchten von TK-Betreibem und Sanktionsbefugnisse der 
Bundesnetzagentur: 

Die Betreiber öffentlicher Telekommunikationsanlagen haben gemäß §110 
Abs. 1 TKG ab Betriebsaufnahme - bei Meidung von Bußgeld bis 500 000 Euro - 
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Einrichtungen zur Telekommunikationsüberwachung vorzuhalten, diesbezüg- 
liche organisatorische Vorkehrungen zu treffen, beides der Bundesnetzagentur 
„unverzüglich“ durch Unterlagen nachzuweisen sowie mit dieser einen Termin 
zur obligatorischen Überprüfung zu vereinbaren; diese kann die Bundesnetz- 
agentur in begründeten Fällen wiederholen (§ 110 Abs. 1 Nr. 4, Abs. 5 TKG). 
Gemäß § 14 der Telekommunikations-Überwachungsverordnung (TKÜV) hat 
der Betreiber die dabei nachzuweisende Überwachungstechnik „nach dem 
Stand der Technik gegen unbefugte Inanspruchnahme zu schützen“. Medien 
berichteten, dass dies offenbar im Fall der DTAG nicht effektiv umgesetzt 
worden sei. 

Sofern der Betreiber nicht all diese Verpflichtungen erfüllt, kann die Bundes- 
netzagentur gemäß § 1 15 Abs. 3 TKG erforderlichenfalls den Betrieb von An- 
lagen einschränken, untersagen oder das „geschäftsmäßige Erbringen des be- 
treffenden Telekommunikationsdienstes ganz oder teilweise untersagen“. 

Zu IV. Protokollierung aller Datenzugriffe durch DTAG und Erkenntnisse der 
Bundesnetzagentur: 

Ein TK- Anlagenbetreiber wie die DTAG hat gemäß § 16 Abs. 1 TKÜV 
„sicherzustellen, dass jede Anwendung seiner Überwachungseinrichtungen 
bei der Eingabe der für die technische Umsetzung erforderlichen Daten auto- 
matisch lückenlos protokolliert wird. Unter Satz 1 fallen auch Anwendungen 
für untemehmensinteme Testzwecke.“ Diese Protokollierungen müssen tech- 
nisch und organisatorisch gegen Löschung gesichert sein und dürfen erst nach 
2 Jahren sowie nur durch besonderes Datenprüfungspersonal gelöscht werden, 
wobei Zeitpunkt und Durchführender zu notieren sind (§ 16 Abs. 2 TKÜV). 

Ein TK- Anlagenbetreiber wie die DTAG hat diese Überwachungs- und Test- 
protokolle mindestens quartalsweise auszuwerten und „hat der Bundesnetz- 
agentur spätestens zum Ende eines jeden Kalendervierteljahres eine Kopie der 
Prüfergebnisse zu übersenden. Die Bundesnetzagentur bewahrt diese Unter- 
lagen, die sie bei der Einsichtnahme nach Absatz 4 verwenden kann, bis zum 
Ende des folgenden Kalenderjahres auf“ (§ 17 Abs. 1 TKÜV). 

Zu V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu 
Tätigkeitsbeschränkungen: 

Gemäß § 128 Abs. 1 TKG kann die Bundesnetzagentur „alle Ermittlungen 
führen und alle Beweise erheben, die erforderlich sind.“ 

Die Bundesnetzagentur katm zur Umsetzung der gesetzlichen Verpflichtungen 
jederzeit gemäß § 127 TKG Auskünfte verlangen und dazu während der 
üblichen Bürozeiten die Räume des betroffenen Unternehmen betreten und 
dort Akten einsehen. 

Die Fragesteller gehen davon aus, dass die Bundesnetzagentur spätestens nach 
den Medienberichten über die Vorfälle bei der DTAG festgestellt haben 
müsste, dass es dort Probleme gibt. Gemäß § 126 Abs. 1 TKG könnte bzw. 
müsste nun die Bundesnetzagentur die Feststellung treffen, „dass ein Unter- 
nehmen seine Verpflichtungen nach diesem Gesetz oder auf Grund dieses Ge- 
setzes nicht erfüllt“ und das Unternehmen zur Stellungnahme sowie Abhilfe 
mit Fristsetzung unter Androhung von Zwangsgeld bis zu 500 000 Euro auf- 
fordem. 

Gemäß § 126 Abs. 3 TKG gilt: „Verletzt das Unternehmen seine Verpflichtun- 
gen in schwerer oder wiederholter Weise oder kommt es den von der Bundes- 
netzagentur zur Abhilfe angeordneten Maßnahmen nach Absatz 2 nicht nach, 
so kann die Bundesnetzagentur ihm die Tätigkeit als Betreiber von Telekom- 
munikationsnetzen oder Anbieter von Telekommunikationsdiensten unter- 
sagen.“ 

Gemäß §126 Abs. 4 TKG „karm die Bundesnetzagentur in Abweichung von 
den Verfahren nach den Absätzen 1 bis 3 vorläufige Maßnahmen ergreifen“, 
wenn „durch die Verletzung von Verpflichtungen die öffentliche Sicherheit 
und Ordnung unmittelbar und erheblich gefährdet“ wird. 
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Zu VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den Infor- 
mationsverbund Berlin-Bonn (IVBB) der Obersten Bundesbehörden: 

Der IVBB des Bundes zur Vernetzung der Obersten Bundesbehörden, einer 
der Grundpfeiler für die Verwaltungsmodemisierung im Rahmen der Initiative 
BundOnline 2005, wurde seinerzeit durch die DTAG realisiert. Der im Auf- 
trag der DTAG durch ein Karlsruher Unternehmen gebaute zentrale TK-Ser- 
ver für den IVBB in der Berliner Wilhelmstraße wird dort bis heute durch die 
Telekom-Zentrale/Regierungsdienste überwacht. Daher ist zu befürchten, dass 
die zutage getretenen Sicherheitsmängel und Datenschutzverletzungen bei der 
DTAG sich nachteilig auch auf die Kommunikations- und Datensicherheit im 
IVBB auswirken können bzw. schon ausgewirkt haben, insbesondere in Form 
eines Missbrauchs von IVBB-Telekommunikationsdaten seitens Personen aus 
dem DTAG-Bereich. 


1. Prüfungen der Bundesnetzagentur bei der DTAG 

1. Hat die Bundesnetzagentur die Konzepte zum Schutz des Femmelde- 
geheimnisses der DTAG geprüft? 

Ja, die Bundesnetzagentur hat die Sicherheitskonzepte der DTAG nach § 109 
Abs. 3 TKG geprüft. 

Der Konzern DTAG hat sowohl für die Festnetzsparte als auch für die Mobil- 
funksparte je ein Sicherheitskonzept vorgelegt und einen Sicherheitsbeauftrag- 
ten benannt. Der Bereich „Fernmeldegeheimnis“ ist als eines der Schutzziele 
Bestandteil der Sicherheitskonzepte nach § 109 Abs. 3 TKG. Die Sicherheits- 
konzepte als Ganzes beschreiben, welche Maßnahmen/Vorkehrungen zur Errei- 
chung der nachfolgenden Schutzziele getroffen wurden: 

• Schutz des Femmeldegeheimnisses und personenbezogener Daten, 

• Schutz der Telekommunikations- und Datenverarbeitungssysteme gegen un- 
erlaubte Zugriffe, 

• Schutz der Telekommunikations- und Datenverarbeitungssysteme gegen 
Störungen, die zu erheblichen Beeinträchtigungen von TK-Netzen führen, 

• Schutz der Telekommunikations- und Datenverarbeitungssysteme gegen 
äußere Angriffe und Einwirkungen von Katastrophen. 


2. Welche Ergebnisse hatte dies? 

Im Ergebnis wurden keine wesentlichen Mängel festgestellt. Es wurden auch 
keine Beanstandungen durch den Bundesbeauftragten für den Datenschutz und 
die Informationsfreiheit gemäß § 115 Abs. 4 Satz 2 TKG an die Bundesnetz- 
agentur gerichtet. 


3. Wann fand die letzte Prüfung statt? 

Neben der abstrakten Prüfung der Sicherheitskonzepte finden fortlaufend stich- 
probenartige Überprüfungen zur Umsetzung statt. Die letzte Überprüfung der 
Umsetzung des Sicherheitskonzepts fand am 5. Juni 2008 statt. 
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4. Worauf bezog sich diese? 

Die letzte Prüfung fand an einem großen Mobile Switching Center (MSC) der 
T-Mobile GmbH in München statt. Gegenstand der Prüfung waren folgende 
Punkte: 

• Außenhauthärtung des Gebäudes, Standortsicherheit, Zutrittssicherung, 

• Energiesicherung (primäre u. sekundäre Stromversorgung, Netzersatzanla- 
gen (NEA), Unterbrechungsfreie Stromversorgungen (USV, Batterien), 

• Ersatzvorrichtungen (auch netzseitig), 

• Sicherung gegen unbefugte Zugriffe, Manipulationsmöglichkeiten, 

• Schutzmaßnahmen gegen äußere Einwirkungen und Katastrophen, 

• Notfallplanung bezüglich des Standorts. 

5. Gab es dabei Beanstandungen? 

Wenn ja, welche? 

Es gab keine Beanstandungen. 


6. Wie viele Prüfungen von Diensten bzw. TK-Komponenten gemäß § 109 
TKG führte die Bundesnetzagentur seit 2000 bei der DTAG durch? 

Seit dem Jahr 2000 wurde die Umsetzung des Sicherheitskonzepts gemäß § 109 
TKG durch 15 stichprobenartige Kontrollmaßnahmen der Bundesnetzagentur 
bei der DTAG überprüft. 

Neben diesen allgemeinen Kontrollmaßnahmen fanden in unregelmäßigen Ab- 
ständen zusätzlich zahlreiche Informations- und Beratungsgespräche insbeson- 
dere im Zusammenhang mit Beschwerden/Bürgereingaben statt. 


7. Welche Konzepte hat die DTAG der Bundesnetzagentur in diesem Zeit- 
raum zu welchen Diensten bzw. Komponenten vorgelegt? 

Die DTAG hat der Bundesnetzagentur in diesem Zeitraum je ein Sicherheits- 
konzept nach § 109 Abs. 3 TKG für die Festnetzsparte und für die Mobil- 
funksparte vorgelegt. Diese berücksichtigen grundsätzlich alle relevanten 
Schutzziele. 


8. Inwieweit trifft nach Erkenntnissen der Bundesregierung bzw. der Bundes- 
netzagentur aufgmnd aktueller Medienberichte, denen zufolge die DTAG 
nun den ehemaligen Bundesrichter, Gerhard Schäfer, erst jetzt mit der Er- 
stellung eines Sicherheitskonzepts beauftrage, die Schlussfolgemng zu, 
dass die DTAG bisher ihren dahingehenden Pflichten gemäß § 109 Abs. 3 
TKG nicht nachkam? 

Die Schlussfolgerung trifft nicht zu. Die DTAG hat Sicherheitskonzepte gemäß 
§ 109 Abs. 3 TKG vorgelegt. 
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9. Inwieweit treffen nach Erkenntnissen der Bundesregierung bzw. der Bun- 
desnetzagentur aktuelle Medienberichte zu (z. B. SPIEGEL ONLINE 
5. Juni 2008), wonach interne Untersuchungen des Telekom-Konzems 
ergaben, dass 

a) bei dem Unternehmen T-Mobile Deutschland GmbH wegen unzurei- 
chender Schutzmaßnahmen auch unberechtigte Mitarbeiter Zugang zu 
Kundendaten hatten, die dem Femmeldegeheimnis gemäß § 88 TKG 
unterliegen, 

b) es Prüfern bei simulierten Hacker-Attacken auf die IT-lnfrastraktur 
gelang, auf finanzielle oder kundenbezogene Daten zuzugreifen und 
diese zu manipulieren? 

Der Bundesregierung liegen dazu keine Erkenntnisse vor. 


10. Sofern der Bundesregierung bzw. der Bundesnetzagentur entsprechende 
Erkenntnisse vorliegen: 

a) ln welcher Weise und zu welchem Zeitpunkt wurden diese erlangt? 

b) Welche Konsequenzen wurden daraus gezogen? 

Siehe Antwort zu Frage 9. 


11. Verarbeitung von Verbindungs- und Standortdaten auch für DTAG-Zwecke 
nur begrenzt zulässig 

1 1 . Gab es für die Bundesnetzagentur oder - nach Kenntnis der Bundesregie- 
mng - für den Bundesdatenschutzbeauftragten seit 2000 bei der DTAG 
Anhaltspunkte für 

a) Verstöße gegen § 88 TKG, 

b) eine gemäß den §§96 bis 100 TKG zuwider laufende Nutzung von 
Daten bei der DTAG, 

c) den Medienberichten zu entnehmenden Verdacht der unzulässigen 
Nutzung von Daten aus Systemen, die ausschließlich zu Zwecken der 
TK-Überwachung genutzt werden dürfen? 

Nein, es gab für die Bundesnetzagentur seit 2000 keine entsprechenden An- 
haltspunkte. Entsprechendes gilt nach Mitteilung des Bundesbeauftragten für 
den Datenschutz und die Informationsfreiheit (BfDI) für seine Prüftätigkeit. 


12. Hat die Bundesnetzagentur aufgmnd ihrer Zuständigkeiten dazu eigene 
Untersuchungen angestellt? 

Siehe Antwort zu Frage 11. 


1 3 . Weim j a, mit welchem Ergebnis? 


Siehe Antwort zu Frage 11. 
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14. Hat nach Kenntnis der Bundesregierung der Bundesdatenschutzbeauftragte 
seit 2000 im Rahmen seiner Zuständigkeiten gemäß § 1 1 5 Abs . 4 TKG und 
§ 25 des Bundesdatenschutzgesetzes (BDSG) Kontrollen bei der DTAG 
angestellt? 

Nach Mitteilung des Bundesbeauftragten für den Datenschutz und die Informa- 
tionsfreiheit (BfDI) hat dieser regelmäßige Kontrollen und Beratungen bei der 
DTAG durchgeführt. Unter anderem war auch der Umgang mit Verkehrsdaten 
der Telekommunikation Gegenstand der Prüf- und Beratungstätigkeit. 


15. Wenn ja, mit welchem Ergebnis? 

Im genannten Zeitraum hat der Bundesbeauftragten für den Datenschutz und 
die Informationsfreiheit (BfDI) in verschiedenen Fällen festgestellt, dass daten- 
schutzrechtliche Vorgaben durch die DTAG nicht beachtet wurden. Er hat aller- 
dings in diesen Fällen auf förmliche Beanstandungen gemäß § 25 Abs. 2 
BDSG, § 115 Abs. 4 Satz 2 TKG gegenüber der Bundesnetzagentur verzichtet, 
weil es sich dabei um unerhebliche Mängel handelte oder die Mängel unver- 
züglich beseitigt wurden. 


111. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der 
Bundesnetzagentur 

16. Hat die Bundesnetzagentur gemäß ihrer Verpflichtung aus § 115 Abs. 1 
Satz 3 TKG die Anlage der DTAG zur Telekommunikationsüberwachung 
und Datenübermittlung auf die oben genarmten Vorgaben hin geprüft, vor 
allem auf den Schutz vor unbefugter Inanspruchnahme? 

Das zum Zeitpunkt der Betriebsaufnahme zuständige Bundesamt für Post und 
Telekommunikation (BAPT) und anschließend die Regulierungsbehörde für 
Telekommunikation und Post (RegTP) haben die gesamten Vorkehrungen der 
DTAG zur Umsetzung von Überwachungsmaßnahmen umfänglich geprüft. 

Darüber hinaus liegen der Bundesregierung und insbesondere der Bundesnetz- 
agentur keine Erkenntnisse dazu vor, dass die ausschließlich für gesetzlich legi- 
timierte, staatliche Überwachungsmaßnahmen vorzuhaltende Überwachungs- 
technik seitens der DTAG für die von den Medien berichtete Auswertung von 
Verkehrsdaten benutzt wurde. 


17. Wenn ja, wann erstmals, und mit welchem Ergebnis? 

Am 3. März 1997 wurden dem Bundesamt für Post und Telekommunikation 
(BAPT) die entsprechenden Unterlagen samt Antrag auf Einvernehmen nach 
dem Gesetz über Fernmeldeanlagen durch die DTAG vorgelegt. Nachdem das 
Prüfverfahren anfänglich durch die Vorlage nicht ausreichend prüffähiger Un- 
terlagen verzögert worden war, erteilte die Regulierungsbehörde für Telekom- 
munikation und Post (RegTP) am 5. Juli 2000 die erforderliche Genehmigung 
nach § 88 TKG. Am 1. Oktober 2001 folgte der Abnahmebescheid der RegTP 
nach § 88 TKG. 
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18. Wann prüfte die Bundesnetzagentur dies zuletzt? 

Mit welchem Ergebnis? 

Die technischen und organisatorischen Vorkehrungen zur Bedienung der Über- 
wachungseinrichtungen einschließlich der Protokolldatenerfassung wurden 
letztmalig am 1 1 . März 2008 geprüft. Dabei wurden keine Hinweise auf miss- 
bräuchliche Anwendung der Überwachungsfunktionen festgestellt. 


IV. Protokolliemng aller Datenzugriffe durch DTAG und Erkenntnisse der 
Bundesnetzagentur 

19. a) Hat die DTAG der Bundesnetzagentur die Prüfprotokolle durchgehend 
ordnungsgemäß übermittelt? 

Der Bundesnetzagentur sind gemäß § 17 Abs. 1 und 3 der Verordnung über die 
technische und organisatorische Umsetzung von Maßnahmen zur Überwa- 
chung der Telekommunikation (Telekommunikations-Überwachungsverord- 
nung — TKÜV) keine Prülprotokolle zu übermitteln, sondern Kopien der Prüf- 
ergebnisse bzw. der Untersuchungsergebnisse zu den Prüfungen, die das Unter- 
nehmen eigenverantwortlich durchzuführen hat. Seit das Übersenden dieser Er- 
gebnisse im Jahre 2002 vorgeschrieben wurde, ist die DTAG dieser Pflicht 
ordnungsgemäß nachgekommen. 

b) Wenn nein, inwieweit nicht? 

Darüber hinaus hat die damalige Regulierungsbehörde für Telekommunikation 
und Post (RegTP) bereits im Jahr 2001 u. a. mit einem Schriftwechsel auf Vor- 
standsebene darauf gedrungen, dass die interne Protokollprüfung iimerhalb der 
DTAG z. B. durch ein „Vier-Augen“-Prinzip verbessert wird. 


20. a) Beachtete die DTAG nach Erkenntnissen der Bundesnetzagentur die 
oben genannten Löschungsvorschriften? 

Der Bundesnetzagentur ist zurzeit nichts Gegenteiliges bekannt. 

b) Wenn nein, inwieweit nicht? 

Siehe Antwort zu Frage 20a. 

c) Enthalten nach Erkenntnissen der Bundesnetzagentur diejenigen Pro- 
tokolle, die jetzt noch ungelöscht bei der DTAG bzw. der Bundesnetz- 
agentur vorhanden sein müssten über Kommunikation bis mindestens 
Juni 2006, auch Details über die von den Medien nun berichteten 
Überwachungsfälle bei der DTAG? 

Der Bundesnetzagentur liegen keine derartigen Erkenntnisse vor. 

Die DTAG ist dazu verpflichtet, die Protokolldaten für Überwachungsmaßnah- 
men quartalsweise zu prüfen (§17 Abs. 1 TKÜV), das Prüfergebnis der Bun- 
desnetzagentur zu übermitteln (§17 Abs. 1 Satz 7 TKÜV) und zwölf Monate 
nach Übermittlung die Protokolldaten zu löschen, soweit die protokollierten 
Überwachungsmaßnahmen beendet sind (§17 Abs. 2 Satz 1 TKÜV) und im 
Rahmen der Prüfung keine Beanstandungen festgestellt wurden (§17 Abs. 3 
TKÜV). Dabei ist gemäß § 16 Abs. 2 Nr. 3 TKÜV technisch sicherzustellen, 
dass die Protokolliemng von Löschungen protokollierter Überwachungsmaß- 
nahmen ihrerseits nicht vor Ablauf von weiteren zwei Jahren gelöscht werden. 
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Protokolldaten von Überwachungsmaßnahmen, die vor dem 1. Januar 2007 be- 
endet wurden, waren daher bereits zu löschen. Der Bundesnetzagentur hegen 
keine Anhaltspunkte zu der Annahme vor, dass Löschungsvorschriften nicht 
eingehalten wurden. Protokolle zu Überwachungsmaßnahmen von Kommuni- 
kation bis Juni 2006, die Details zu den von den Medien berichteten Vorfällen 
bei der DTAG beinhalten könnten, liegen somit nach Kenntnis der Bundesnetz- 
agentur nicht mehr vor. 

d) Falls nein, warum nicht? 

Siehe Antwort zu Frage 20c. 

e) Welche Maßnahme hat die Bundesnetzagentur ergriffen und/oder wird 
sie kurzfristig ergreifen, um zu Beweiszwecken über diese Vorfälle 
die planmäßige Löschung der Protokollierungen bei der DTAG zu 
verhindern und die Daten zunächst „einzufrieren“? 

Die Bundesnetzagentur hat keine solchen Maßnahmen ergriffen oder geplant. 
Die Bundesnetzagentur kaim nach § 1 7 Abs. 4 TKÜV Einsicht in vorhandene 
Protokolldaten nehmen. Eine Befugnis zur Verlängerung der Aufbewahrungs- 
fristen ist damit nicht verbunden. 


21. a) Hat die Bundesnetzagentur die durch die DTAG übermittelten Proto- 
kollkopien stets geprüft? 

Der Bundesnetzagentur sind nach der Verordnung über die technische und or- 
ganisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommu- 
nikation (Telekommunikations-Überwachungsverordnung — TKÜV) nicht die 
Protokoll-Kopien selbst zur Prüfung zu übersenden, sondern die Ergebnisse der 
von dem Unternehmen eigenverantwortlich durchgeführten Prüfungen. 

b) Hat sie darin Unregelmäßigkeiten entdeckt? 

Die übermittelten Ergebnisse enthielten für das Jahr 2007 Angaben über zwei 
Unregelmäßigkeiten, die die DTAG selbst festgestellt hat. 

c) Wenn ja, wann je welche? 

Es handelte sich um versehentlich falsche Eingaben des Bedienpersonals der 
DTAG. Die Eingaben wurden nach Erkennen des Fehlers in Absprache mit der 
berechtigten Stelle korrigiert. 


V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu Tätig- 
keitsbeschränkungen 

22. Welche Ermittlungen hat die Bundesnetzagentur nach Bekanntwerden 
der Rechtsverstöße beim Schutz des Femmeldegeheimnisses bei der 
DTAG eingeleitet? 

Bereits kurz nach den Medienberichten vom Wochenende 24. /25. Mai 2008 
wurde bekannt, dass die Staatsanwaltschaft Bonn sowohl die strafrechtlich als 
auch ggf. aus Sicht des Ordnungswidrigkeitenrechts erforderlichen Ermittlun- 
gen führt (§ 40 OWiG). Flierzu steht die Bundesnetzagentur seitdem in Kontakt 
mit der Staatsanwaltschaft Bonn. 

Darüber hinaus hat der Präsident der Bundesnetzagentur den Vorstandsvorsit- 
zenden der DTAG mit Schreiben vom 2. Juni 2008 gemäß § 115 Abs. 1 Satz 2 
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TKG um Auskunft über die technischen, organisatorischen und personellen 
Konsequenzen ersucht, die jener aus den bekaimt gewordenen Vorfällen ziehe 
oder schon gezogen habe, um eine Wiederholung der Vorfälle zu vermeiden. 


23. Gab es seit 2000 Untersuchungen dort, und wenn ja, mit welchem Ergeb- 
nis? 

Ja, Prüfgegenstand waren die Vorkehrangen, die die DTAG i. S. d. § 100 TKG 
(hier: Missbrauchserkennungssysteme/Fraud-Managementsysteme) getroffen 
hat. Die Prüfungen erstreckten sich sowohl auf die Festnetz- wie auch die 
Mobilfunksparte. Die dort vorhandenen Einrichtungen und sonstigen getroffe- 
nen Maßnahmen haben keinen Ftinweis auf missbräuchliche Nutzung von Da- 
ten ergeben. 


24. Hat der Bundesdatenschutzbeauftragte bezüglich des Schutzes personen- 
bezogener Kundendaten bei der DTAG um Auskünfte gebeten? 

Der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 
(BfDl) hat nach seiner Mitteilung mit Blick auf die aktuellen Vorgänge um- 
fangreiche Kontrollen eingeleitet. Diese beziehen sich auf mögliche Lücken im 
Sicherheitskonzept für den Umgang mit Verkehrsdaten. Der Zweck besteht da- 
rin, Schwachstellen im Datenschutzkonzept der DTAG zu analysieren und eine 
Wiederholung des Missbrauchs sensibler TK-Daten auszuschließen. 


25. Teilt die Bundesregierung die Auffassung der Fragesteller, dass 

a) der Eingriff in das Fernmeldegeheimnis bei der DTAG nach gegen- 
wärtigem Kenntnisstand als so schwere Verletzung ihrer Verpflichtun- 
gen nach dem TKG zu sehen ist, dass auch vorläufige Maßnahmen der 
Bundesnetzagentur nach § 126 Abs. 3 TKG durchaus rechtfertigen 
könnten, 

b) die DTAG durch ihre „Verletzung von Verpflichtungen“ die „öffent- 
liche Sicherheit und Ordnung unmittelbar und erheblich“ gefährdet 
hat im Sinne des § 126 Abs. 4 TKG zumindest dann, sofern die DTAG 
so in das Gmndrecht nicht nur einzelner Betroffener eingriff, sondern 
ebenso einer größeren Zahl von Personen/Kunden? 

Zu Frage 25 a 

Vorläufige Maßnahmen sieht § 126 Abs. 3 TKG nicht vor. Eine Untersagungs- 
verfügung nach § 126 Abs. 3 TKG kann nur in Betracht gezogen werden, weim 
feststeht, dass das Unternehmen seine Verpflichtungen in schwerer oder wie- 
derholter Weise verletzt hat oder von der Bundesnetzagentur angeordneten 
Maßnahmen nach § 126 Abs. 2 TKG nicht nachkommt. Die Frage, ob die 
DTAG ihre Verpflichtungen in schwerer oder wiederholter Weise verletzt hat, 
kann nach gegenwärtigem Kenntnisstand noch nicht beurteilt werden. Die Er- 
mittlungen, die eine Beantwortung dieser Frage ermöglichen, dauern noch an. 

Zu Frage 25b 

Auch vorläufige Maßnahmen nach § 126 Abs. 4 TKG setzen voraus, dass die 
Verletzung von Pflichten feststeht. Außerdem muss eine unmittelbare und er- 
hebliche Gefährdung der öffentlichen Sicherheit und Ordnung bestehen. Soweit 
die Bundesnetzagentur außerhalb der staatsanwaltlichen Ermittlungszuständig- 
keit (Straffecht und Ordnungswidrigkeitenrecht) im Rahmen der verbleibenden 
Zuständigkeit — insbesondere nach § 115 TKG — prüft, ob Maßnahmen erfor- 
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derlich sind, liegen der Bundesnetzagentur zurzeit keine Erkenntnisse vor, die 
eine vorläufige Betriebsuntersagung rechtfertigen würden. Insbesondere ist 
nicht zu erkennen, dass eine unmittelbare und erhebliche Gefährdung der öf- 
fentlichen Sicherheit und Ordnung besteht. 


26. Welche unmittelbaren Maßnahmen gemäß § 126 TKG hat die Bundes- 
netzagentur gegenüber der DTAG ergriffen? 

Der derzeitige Kenntnisstand rechtfertigt keine Maßnahmen nach § 126 TKG. 


27. Hält die Bundesregiemng eine vollständige oder teilweise Untersagung 
der Tätigkeit der DTAG als Betreiber von TK-Netzen und Anbieter von 
Telekommunikationsdiensten für noch vermeidbar? 

Wenn ja, wie, und unter welchen Voraussetzungen? 

Siehe Antwort zu Frage 26. 


VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den IVBB der 
obersten Bundesbehörden 

28. Soweit die DTAG am Betrieb des IVBB maßgeblich beteiligt ist, sieht die 
Bundesregierung nun die Sicherheit des IVBB vor Überwachung noch als 
gewährleistet an? 

Wenn ja, warum? 

Ja. Der Betreiber des IVBB (T-Systems) hat mitgeteilt, dass keine Daten (inkl. 
Verbindungsdaten), die aufgrund der von T-Systems für den Bund erbrachten 
Dienstleistungen entstanden sind bzw. künftig entstehen, von den Vorkommnis- 
sen bei der Deutschen Telekom betroffen sind. Die Daten sind nach Aussagen 
des Betreibers zu anderen als Abrechnungszwecken nicht genutzt worden. 


29. Welche Sicherheitsmängel und Datenschutzverletzungen im IVBB, ins- 
besondere solcher, die durch Personen der DTAG veranlasst oder herbei- 
geführt wurden, sind der Bundesregierung bzw. der Bundesnetzagentur 
seit 2000 im Einzelnen bekannt geworden? 

Keine 


30. ln welchen Abständen werden die Telekommunikations- Verbindungsda- 
ten im Rahmen des IVBB derzeit gelöscht? 

Die Löschung der Telekommunikations- Verbindungsdaten erfolgt nach 120 Ta- 
gen. 


31. Welche Verbesserungen von Kontrollmöglichkeiten bezüglich etwaiger 
heimlicher Überwachungen von IVBB-Daten hält die Bundesregiemng 
für nutzbringend? 

Die im IVBB anfallenden Verbindungsdaten sind als Verschlusssachen einge- 
stuft und werden entsprechend behandelt. 

Darüber hinaus sind im IVBB-Vertrag weitere Regelungen zur Geheimhaltung 
und Sicherheit festgelegt, insbesondere zur Einhaltung des Datenschutzes und 
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des Verbots zur Weitergabe oder Weiterverarbeitung von aus dem Bereich des 
Auftraggebers erlangten Informationen an Dritte. 

Durch das BSI werden im IVBB zudem regelmäßig Sicherheitsrevisionen 
durchgeführt. 

Aus Sicht der Bundesregierung besteht derzeit keine Notwendigkeit, die beste- 
henden umfänglichen Kontrollmöglichkeiten zu erweitern. 


32. Wie kann im IVBB - insbesondere zugunsten wirksamer Kontrollmög- 
lichkeiten durch die Bundesnetzagentur - erreicht werden 

a) eine bessere Kontrollierbarkeit der Netz- Administratoren, 

b) soweit noch nicht praktiziert, die vollständige Protokollierang von 
(versuchten) Zugriffen bzw. Abmfen von Verbindungsdaten, 

c) wirksamere technische, organisatorische, personelle und vertragliche 
Vorkehrungen gegen ähnlichen Datenmissbrauch im IVBB, wie bei 
der DTAG mutmaßlich geschehen? 

Auf die Antwort zu Frage 31 wird verwiesen. 


33. Welche Bedeutung misst die Bundesregiemng bezüglich der Sicherheit 
personenbezogener und vor allem Kommunikationsverbindungsdaten im 
IVBB dem möglichen Einstieg ausländischer Investoren in die DTAG 
bei, vor allem der mssischen Firma SISTEMA (vgl. DER SPIEGEL 
Nr. 23/2008 S. 33) auch angesichts strategischer Erkermtnisbegehren ms- 
sischer Sicherheitsbehörden? 

Die Bundesregierung plant eine Änderang des Außenwirtschaftsrechts, um aus- 
ländische Investitionen in weiteren Industriebereichen als bisher auf eine Ge- 
fährdung der öffentlichen Ordnung oder Sicherheit der Bundesrepublik 
Deutschland prüfen zu können. Ob eine Gefährdung der öffentlichen Ordnung 
oder Sicherheit i. S. d. Artikels 58 EG-Vertrag vorliegt, muss im Einzelfall ge- 
prüft werden. 
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